Röjandebegreppet

Den första frågan som bör utredas är huruvida myndighetens uppgifter överförs till underleve- rantören genom den tilltänkta outsourcingen på ett sådant sätt att en uppgift är att betrakta som röjd enligt OSL vid överlämnandet. Att underleverantörens anställda i regel anses stå utanför förvaltningsmyndighetens ordinarie organisation står enligt JO:s senare beslut klart. Nås denna slutsats torde uppgifterna således inte omfattas av motsvarande sekretesskydd när de befinner sig hos underleverantören som de hade hos myndigheten, såtillvida det inte råder sekretess hos underleverantören enligt någon annan bestämmelse.112

Enligt motiven till SekrL bör det avgörande rekvisitet för bedömningen av huruvida myndig- hetens uppgifter anses röjda vara om någon obehörig tar del av uppgiften.113 Röjandebegrep- pets närmare innebörd har även behandlats av Högsta domstolen (HD) i ett mål rörande straffansvar för vårdslöshet med hemlig uppgift enligt 19 kap. 9 § BrB.114 Enligt HD:s be- dömning utgör det inte ett nödvändigt krav att den mottagande parten fått kännedom om upp- giften genom förfarandet. Bedömningen bör, enligt HD, istället delas upp i två led. Det första ledet utgörs av en bedömning av huruvida uppgiften gjorts tillgänglig för den obehörige. Vid nästa led ska bedömas huruvida uppgifterna gjorts tillgänglig för den obehörige på ett sådant sätt och under sådana omständigheter som innebär att det är sannolikt att denne kommer ta del av uppgiften. HD ansåg att en mer extensiv tolkning av röjandebegreppet än det som följde av stadgandets ordalydelse skulle innebära en kränkning av legalitetsprincipen.

Att HD:s slutsats i stor utsträckning borde vara vägledande för bedömningen av huruvida en uppgift är att anses röjd enligt OSL vinner även stöd i doktrinen.115 Hur dessa bedömningar ska göras avseende elektroniska uppgifter är dock inte helt klart. När det kommer till elektro-

112 _{Jfr dock avsnitt 5.2.}

113 _{Prop. 1979/80:2 del A s. 119.} 114

NJA 1991 s. 103.

115 _{Lenberg m.fl., kommentaren till 3 kap. 1 § OSL. I kommentaren hänvisas även till NJA 1991 s. 103 för möj-} lig vägledning för bedömningen av huruvida en uppgift är att anse som röjd.

37

niska uppgifter kan det vara svårt att avgöra i det första ledet huruvida dessa gjorts tillgängli- ga för någon. Mot bakgrund av svårigheterna att fastställa innehållet av tillgängliggörande- rekvisitet torde istället, i enlighet med HD:s avgörande samt till viss del även JK:s avgörande (se ovan i avsnitt 4.5.), sannolikhetsbedömningen av huruvida myndigheten eller någon annan kommer att ta del av uppgifterna vara det huvudsakligen vägledande kriteriet vid bedömning- en av elektroniska uppgifter.

Mot bakgrund av denna diskussion rörande definitionen av röjandebegreppet och dess kriteri- er är det av värde att utreda hur denna tillgänglighets- och sannolikhetsbedömningen bör gö- ras vid de vanligare typfallen av outsourcing hänförlig till den faktiska e-förvaltningen såsom E-delegationen hänvisade till i deras utredning och som berörts ovan (avsnitt 2.3.).

– Första formen för outsourcing består av IT-drift. Denna typ av outsourcing kan se olika ut beroende av hur omfattande myndighetens outsourcingen är. I de fall outsourcing består av basala former av IT-drift där underleverantören endast upplåter förvaringsutrymme, elektrici- tet, ventilation samt liknande praktiska tjänster för att hysa myndighetens servrar och annan teknisk utrustning torde något direkt tillgängliggörande inte ske. Med användning av särskilda tekniska kontrollmekanismer och skyddsanordningar bör myndigheten kunna styra åtkomsten på ett sådant sätt som medför att några uppgifter inte görs tillgängliga för underleverantören. Genom att vidta både tekniska och faktiska åtgärder mot intrång torde således sannolikheten för att underleverantören eller annan tar del av uppgifterna vara tämligen låg. I de fall myn- digheten använder sig av underleverantörens servrar för att hysa sin verksamhet måste uppgif- terna anses gjorts tillgängliga för underleverantören. Beträffande sannolikheten för att under- leverantören sedan tar del av uppgifterna vid ett sådant förfarande blir det i dessa fall en be- dömning av den faktiska behörighet och möjlighet underleverantören har till att ansluta till servrarna samt vilka arbetsuppgifter underleverantören har att ombesörja enligt parternas avtal om outsourcing. Återigen torde erforderliga säkerhetsåtgärder kunna minimera denna risk. Avslutningsvis beträffande typfallet IT-drift kan även nämnas olika typer av outsourcing av förvaltande funktioner av myndighetens nätverk och IT-drift. I dessa fall har underleverantö- ren en mycket hög behörighet till myndighetens system och därigenom även dess uppgifter. Avseende denna form torde det vara svårt att styra en förvaltares behörighet på ett sådant sätt som medför att myndighetens uppgifter inte görs tillgängliga för denne. Inte heller är det osannolikt att förvaltaren inte kommer att befatta sig med myndighetens uppgifter. – Då myndigheten använder en underleverantör till stödtjänster i form av s.k. helpdesk- funktion till olika mjukvaror sker som utgångspunkt inget tillgängliggörande av uppgifter. Har dock underleverantören behörighet att ansluta till myndighetens nätverk eller kan tilldelas fjärranslutning av myndighetens egna anställda, exempelvis för att utföra felsökningar, måste dock uppgifterna anses gjorda tillgängliga för underleverantören på ett sätt som medför att det är sannolikt att denne tar del av uppgifterna. Andra typer av stödtjänster som innebär faktisk befattning av uppgifterna medför även att uppgifterna är att anse som röjda enligt OSL:s me- ning.

38

– Vid utveckling av myndighetens verksamhet samt utveckling av nya IT-lösningar och E- tjänster torde det inte ske någon befattning med konkreta uppgifter hos myndigheten. Denna form av hantering torde därför i regel inte medföra att sekretessreglerade uppgifter tillgäng- liggörs för underleverantören. Avgörande blir dock underleverantörens behörigheter att kom- ma åt systemen vid den tidpunkt systemen integrerats i myndighetens verksamhet och fyllts med myndighetens uppgifter.

– Kommunikation mellan myndighetens anställda samt mellan olika myndigheter kräver upp- byggnad av en infrastruktur som är snarlik den för stödtjänster och ärendehaneringssystem. På samma sätt måste dock behörigheter och möjligheter till avlyssning kunna styras av myndig- heten för att säkerställa att inga uppgifter röjs.

– Vid sådan faktisk behandling av myndighetens uppgifter och handlingar som består av ex- empelvis inscanning av fysiska dokument, registrering eller transkribering av uppgifter samt tryck- och utskickstjänster måste innebära att uppgifterna anses röjda enligt OSL genom un- derleverantörens befattning med uppgifterna. I enlighet med HD:s avgörande i NJA 1991 s. 103 torde det dock finnas utrymme för undantag från denna huvudregel. Det gäller i de fall det på grund av outsourcingens utformning framstår som mycket osannolikt att underleveran- tören faktiskt tar del av uppgifterna. Ett exempel på en sådan situation är det ovan nämnda ärendet hos JK (avsnitt 4.5), där det på grund av verksamhetens art och den använda tekniska utrustningen framstod som osannolikt att någon kunde tillgodogöra sig uppgifterna.

Som framgår ovan är bedömningen väldigt beroende av hur situationen ser ut i det aktuella fallet. Listan kan därmed heller inte anses vara uttömmande, utan snarare exemplifierande. I många fall torde underleverantörens behörigheter kunna styras av den upphandlande myndig- heten för att undvika att sekretessreglerade uppgifter tillgängliggörs. Av detta följer att myn- digheten måste vara mycket noga dels då de utformar sin upphandling, dels då de utreder möj- ligheterna för att verksamheten ska kunna utföras av en underleverantör utan att uppgifterna görs tillgängliga för denne.

I de fall en outsourcing består av att delta i myndighetens faktiska verksamhet och därigenom faktiskt behandlar de uppgifter som är föremål för sekretess enligt OSL, såsom läkarsekrete- rarna gjort i det aktuella ärendet hos JO, torde det inte finnas utrymme att anse att behandling- en av uppgifterna inte är att anse som tillgängliggjorda för underleverantören i OSL:s mening och enligt de kriterier HD uppställt. Ett alternativt tillvägagångssätt, hänförligt till detta inle- dande led i bedömningen av dylik verksamhets överensstämmelse med OSL, torde kunna vara att den upphandlande myndigheten använder sig av en teknisk lösning som krypterar eller på annat sätt anonymiserar de aktuella uppgifterna på ett sätt som avidentifierar dem för underle- verantören.116